基于国家安全视域的数据出境监管对策研究

顾海艳 任 涛

进入数字化时代，数据的产生、采集、存储、流转、分析和应用涉及一系列新兴产业，形成了以数据为关键要素、具有强劲发展势头的数字经济。数据跨境流动和数字贸易大幅增长，数据已成为一种重要资源，逐步成为各国经济发展的新引擎。①迟福林：《新型开放大国的选择》，《金融经济》2019 年第19 期。国家“十四五”规划提出要推进数字产业化和产业数字化，推动数字经济和实体经济深度融合。党的二十大报告提出要加快建设网络强国、数字中国。《数字中国发展报告（2022 年）》显示，2022 年我国数字经济规模达50.2 万亿元，总量稳居世界第二，占国内生产总值比重提升至41.5%。但与此同时，数据安全形势日益严峻，盗取个人信息、破坏和滥用数据的现象不断发生，给个人安全、社会公共安全乃至国家安全带来严重危害。早在2017 年12 月，习近平总书记在中共中央政治局实施国家大数据战略的第二次集体学习时就提出，要“强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。”②程琳：《切实保障国家数据安全》，《光明日报》2018 年7 月10 日。2022 年12 月《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》中指出，要“统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设”。这些都充分表明党中央对数据安全问题的高度重视。

数字经济的迅猛发展必然带来海量的数据跨境流动，这就给维护数据安全、维护国家安全带来了巨大挑战。数据跨境流动的科学有效管理，尤其是数据出境的监管，涉及法律、政策、技术等多个方面，是当下迫切需要研究的重要问题。

一、数据出境及其对国家安全的影响

（一）数据出境的内涵

数据出境是数据跨境流动的一种形式，“数据跨境流动”一词首见于1980 年经合组织《关于保护隐私与个人数据跨境流动的准则》。①朱扬勇、熊贇：《数据跨境监管初探》，《大数据》2021 年第7 期。目前跨境流动的数据已经完全超越了个人数据范畴，包括大量企业、组织的数据，涉及交易信息、空间位置、影像资料等各种类型。因互联网技术的发展，数据在国家间流动的形式多样，业界至今尚未形成统一的数据跨境流动、数据出境的严格定义。

（二）数据出境引发的典型安全事件

随着大数据技术的快速发展，数据出境的安全问题受到了全世界普遍关注。各类数据资源不仅是国家“软实力”的体现，更事关政治、经济、军事、国防等国家安全和社会安全。近年来国内外曾发生多起数据出境的安全事件，其中国内典型案例是滴滴公司违规收集、使用个人信息的事件。

滴滴公司作为互联网打车行业的寡头平台，拥有极其丰富的运营数据，运用这些数据进行挖掘分析、完善其运营模式完全是合理合规的。但是一条条貌似普通的运营数据，在大量汇集后就可能产生“聚变”效应。滴滴研究院曾于2015 年发表了一份基于实时生成的移动出行大数据分析研究报告。②王凌霞：《“互联网+”时代的政府信息安全》，《软件和集成电路》2015 年第9 期。该报告分析了2015 年北京最热的两天（7 月13 日和14 日，日最高气温达40℃），涉及外交部、公安部、监察部、国土资源部等17 个国家部委的滴滴出租车、快车、专车使用数据，发现了加班最多的部委、24 小时无休的部委、各部委工作时间的特点等规律性特征；在此基础上，还对一些加班数据，结合其他公开信息进行了进一步关联分析，挖掘了其内在关系和原因。

该研究报告表明，依靠打车数据完全可以对国家部委工作人员行踪、作息时间进行规律性分析。由此可见，该平台的运营数据如果被敌对势力掌握，会给社会公共安全、尤其是国家安全带来极其严重的危害。其原因在于：滴滴打车运营平台收集的数据，包括全国道路交通信息、大量用户的个人信息及车载实时监控信息。如果这些数据被泄露出境，将导致精确的空间地理信息、敏感区域信息以及个人身份和工作信息等数据泄露。

2021 年6 月30 日，“滴滴出行”在美国快速上市。根据美国的相关法规，美国政府有权对在其境内上市的公司持有数据信息进行调阅等处理。为此，2021 年7 月2 日，中国网络安全审查办公室发布公告，依据《国家安全法》和《网络安全法》对“滴滴出行”实施网络安全审查。审查报告③中国网信网：《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》，http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm，访问日期2023 年7 月4 日。表明，滴滴公司的行为已经不是简单的个人信息泄露问题，存在严重的违规违法收集、使用个人信息的行为。因此，滴滴公司及其董事长和总裁于2022 年7 月21 日均被国家互联网信息办公室处以高额罚款。

二、我国数据出境监管相关法律法规及存在的主要问题

我国数据出境监管工作起步较晚，除了《保密法》外，近年来才陆续出台一些涉及数据跨境流动的法律法规，主要包括：《网络安全法》《数据安全法》《个人信息保护法》《数据出境评估办法》等。虽然目前已针对数据出境监管出台了一些法律法规，但在数据监管实践中仍然存在以下主要问题。

（一）数据出境法规制度、体制机制不够完善

一是配套的法规制度尚不健全。高阶法律涉及原则性的条文较多，通常需要配套的法规、规章等下位法来补充。例如，《数据安全法》中提及了“数据安全审查制度”“数据分类分级保护制度”等相关制度，但目前尚缺乏具体内容；《数据安全监管实施条例》等具体条例规范也未正式颁布。

二是数据出境监管体制机制不够顺畅。尽管国家对数据的跨境流动进行了立法规范，但目前由于总体上存在配套法规制度零散且不健全、监管机构职责分工不清、数据跨境风险管理机构缺失、数据合规执法程序不明等问题，产生了各地区各部门各行业各自为政、数据出境监管体制机制不够顺畅的现象，在数据监管工作全局上统筹协调、纵向衔接、横向协作的局面尚未形成。

（二）缺乏科学的数据分类分级标准和技术

数据的分类分级管理是实现数据高效安全监管的重要保证，其中数据分级的主要依据是数据是否为重要数据。重要数据的判断标准包括“在经济社会发展中的重要程度”“对国家安全、公共利益或者个人、组织合法权益造成的危害程度”，但现有法规没有明确这两个“程度”如何界定并缺乏具体认定标准。另外尽管目前全国有些地区、行业在数据分类分级方面进行了积极探索，如贵州省于2016年率先出台了《政府数据 数据分类分级指南》，定义了政府数据的分类分级原则和方法；上海市、浙江省等地陆续出台了公共数据开放分级分类的试行指南；工业和信息化部于2020 年3 月颁布了《工业数据分类分级指南（试行）》；①高磊、赵章界、林野丽等：《基于〈数据安全法〉的数据分类分级方法研究》，《信息安全研究》2021 年第10 期。中国人民银行于2020 年9 月颁发了《金融数据安全数据安全分级指南》等。但这些指南、条例对数据分级的探索基本属于定性范畴，缺乏明晰的分级定量标准，不利于对数据出境进行合理高效的监管及执法。

（三）数据出境的监管能力不足和监管工作不到位

一方面，随着云计算技术的迅猛发展，产生了多个大型云服务商，这类服务商通常在不同国家或地区建有数据中心供全球用户进行数据存储。数据所有者租用云服务后，虽然方便了数据存储和分析，但同时也削弱了对自有数据的控制权。另外云服务也可能招致更多的网络攻击、数据被盗等安全问题，而目前对于云服务等新技术催生的数据跨境流动的监管措施手段尚有欠缺。

另一方面，我国对境内外企业的数据收集、流出行为监管工作也不到位。微软、苹果、亚马逊等国外互联网企业通过在我国境内开展业务、与中国企业开展合作等方式，获取了我国大量数据资源。很多进口的高端工业控制系统使用了私有通信协议、专用交换接口和特殊数据格式，这些企业以技术维护、性能检测等理由向境外传输设备数据。例如，Gulfstream 系列飞机上安装的飞行性能监控系统（HTM 系统），可以实时收集飞机的各种运行参数，并通过卫星通讯系统发送到Gulfstream 的地面服务部门。目前我国针对这些进口设备的数据收集、数据流出监管力度不足。此外，国内企业对自有数据的出境监管作用发挥不够。一些国内企业为谋求境外发展，对数据跨境与国家安全、社会公共安全、个人隐私的关系认识不足，开展国际业务过程中未充分考虑境内与境外的区别，对数据海外存储、数据出境等缺乏必要的监管意识，导致自我监管不到位。②何傲翾：《数据全球化与数据主权的对抗态势和中国应对——基于数据安全视角的分析》，《北京航空航天大学学报（社会科学版）》2021 年第3 期。

三、发达国家数据出境监管规制简介

2013 年“棱镜门”事件后，世界很多国家、地区陆续制定了相关法律法规，并采取相应措施对数据出境进行监管，来维护其数据安全，其中美国、欧盟、俄罗斯、日本等国家和地区的相关制度具有代表性。

（一）美国

美国有较丰富、完善的法律体系，其中关于数据保护的法律就有很多，如《视频隐私保护法》《美国反垃圾邮件法》《数据保护法案》等。①邵晶晶、韩晓峰：《国内外数据安全治理现状综述》，《信息安全研究》2021 年第10 期。近年来，基于数据安全审查机制及扩张的域外数据管辖策略，美国联邦政府颁布了《澄清境外数据的合法使用法案》（CLOUD 法案），于2022 年又出台了《国家安全与个人数据保护法提案》（NSPDPA 法案）的讨论稿。CLOUD 法案中要求“无论网络服务提供商的通信内容、记录或其他信息是否存储在美国境内，只要该网络服务提供者拥有、控制或监管上述信息，均需要按照该法令的要求保存、备份、披露”。②唐铭良：《主权视角下的数据跨境流动规制》，《学习月刊》2021 年第8 期。NSPDPA 法案则提出，所有涉及数据在线服务的公司不得将任何用户数据或解密该数据所需的信息直接或间接地传输到任何“有疑虑国家”。③魏远山：《博弈论视角下跨境数据流动的问题与对策研究》，《西安交通大学学报（社会科学版）》2021 年第5 期。这些法案实际是美国的“长臂管辖”思维在数据领域的体现，以强化美国对其掌握数据的绝对控制。

（二）欧盟

欧盟统一制定的《通用数据保护条例》于2018 年5 月25 日开始在欧盟各国施行。条例中包含了欧盟的数据跨境流动规则、制度、标准工具，诸如白名单、标准格式合同条款、企业约束规则、充分性认定协议、验证机制等，来解决因数据流动带来的安全问题。④董超：《欧盟数字化战略特点及对我国的启示》，《中国经贸导刊》2021 年第9 期。通过执行统一的制度标准，禁止欧盟个人数据流向不符合条例标准的第三国。条例同时规定了可以向非欧盟成员国传输数据，但要受到严格限制，要求他国达到其认可的数据保护标准。例如，欧美之间通过签署《欧美隐私盾协议》，使得双方数据得以按协议跨境流动。

（三）俄罗斯

2013 年以后，俄罗斯两次修改立法，强行实施数据本地化存储。特别是2022 年俄乌冲突以来，鉴于国际形势的重大变化，俄罗斯对《俄罗斯联邦个人数据法》进行了大面积修正，⑤罗为、巨兆睿：《俄罗斯更新联邦个人数据法 修改个人数据跨境传输规定》，https://www.sohu.com/a/609643517_121622857，访问日期2023 年8 月4 日。涉及跨境传输个人数据的通报及限制、非法传输个人数据造成侵权的通报、处理个人数据前的通报等方面的规定。新法律增加了跨境传输个人数据的前置通报程序，其中规定不论目的地国类别，在向其传输个人数据前，均应当向俄罗斯通信监督局通报跨境传输个人数据的计划。新法律的变化，说明俄罗斯的数据出境管理要求变得更加严格，内容也更加丰富具体。

（四）日本

自21 世纪初，日本政府就开始着力打造数据产业，并强调跨境数据流动与安全。通过采取国内数据立法、双边/多边规则谈判等方式，加速落实数据跨境流动治理制度，并在全球积极争取此方面的强势话语权。通过设立内阁“数字厅”，完善对数据跨境流动的监管机制，提升数据流动中的透明度，并采取区块链等技术措施保障数据跨境的安全。⑥张晓磊：《日本跨境数据流动治理问题研究》，《日本学刊》2020 第4 期。

总之，数据跨境流动的安全问题在主要数据强国都受到了高度关注，他们通过制定政策法规、开展国际合作、运用技术手段等多种途径，不断改进本国的数据出境监管工作。

四、加强数据出境监管的对策

（一）健全数据安全监管相关法律法规制度体系

进一步完善相关法律法规，有利于形成合理高效的数据监管体制机制，确保数据监管扎实落地。要结合国际社会出现的新形势、新法规和技术发展的新情况，尽快出台数据出境监管的细化配套法规，诸如：（1）尽快制定《数据安全监管实施条例》，进一步明确各级数据监管组织机构及其职责分工、监管程序、监管方式、执法标准等监管和执法要素。（2）进一步完善《数据出境安全评估办法》，使其更具有可操作性。（3）建立数据出境的事后监管法规，可对数据出境后是否产生安全问题进行事后评估、监控和追责，以强化对数据出境的全程管控。（4）尽快建立数据出境风险评估的委托与问责法规，以规范承担数据出境安全检测和风险评估的相关专业机构的工作。（5）进一步完善数据出境管制规定，加快制定针对西方国家“长臂管辖”的反制法规，同时制定我国动态的数据出境“白名单”和“黑名单”等措施，为经济发展、国际合作和数据安全提供可靠支持。

（二）制定并完善数据分级分类统一标准

依法做好数据分类分级工作，降低全社会数据管理成本，推动正常的数据跨境流动，确保国家核心数据和重要数据管得安全牢靠、一般数据流动使用方便。要尽快制定全国统一的数据分类分级标准，各部门各行业结合各自特点进一步细化规则和量化标准，便于今后在数据管理工作中贯彻执行。

（三）构建顺畅高效的数据出境监管体制机制

一是要优化数据出境监管体制。数据出境监管，应以提升国家数据管理能力、确保国家数据安全为目标，依据《数据安全法》等相关法律法规要求及实操方便性，进一步优化全国数据安全监管体制，确保数据出境监管工作的全覆盖和顺畅实施。二是要建立高效可靠的数据出境监管机制。目前不少数据出境安全问题都是在事后发现的，事后处罚“亡羊补牢”未尝不可，但往往已经造成了严重后果，此类现象应该杜绝。因此要把数据出境监管的工作重点放在“事前预防”，防患于未然，同时加强“事中监管”，并关注“事后监管”，而非在出了问题后简单地进行“事后处罚”。此外要在对出境数据全面实现分类分级管理的基础上，不断优化数据出境监管机制，以协调好数据安全监管与数字贸易之间的矛盾，确保数据出境达到应有的工作效率。三是要制定可操作性强的数据出境监管工作制度。诸如数据监测预警和信息通报、以及数据安全事件应急处置等管理制度，并做到定岗定责进行长效监管，实现对数据出境的多元共治。

（四）做好数据安全监管专门人才培养和队伍建设

一方面鉴于当前大数据技术发展迅猛，数据监管难度越来越大；另一方面各地区各部门各行业的数据监管工作将依法全面铺开，意味着今后迫切需要大量数据安全监管专门人才。全国开设网络安全、数据技术等相关专业的高等院校特别是公安类院校，应当积极响应时代和国家需求，在网络安全与执法、数据警务技术等专业中设置数据安全监管的专门课程，加强高素质专业人才的培养。

同时要加强数据安全监管队伍建设，抓好区县级、市级、省级数据安全监管队伍，明确各级职责分工，抓好“事前预防”“事中监管”等数据监管工作。同时，各行业主管部门也应参照政府相关部门的做法，加强自身数据监管队伍建设。

（五）创新数据出境监管技术手段

数字化时代每天都产生海量的类型复杂的信息数据，而数据在收集、存储、加工处理等各个环节都存在泄露的风险，加之当前我国数据监管能力不足，因此：一是要努力创新数据加密、数据脱敏、权限管控、审计溯源等数据处理多环节的监管实用技术，降低数据信息外泄风险。比如对于已通过安全风险评估或审查的数据文件，在出境时添加具有保护功能的宏代码和安全标识符等技术措施，以有效防范数据非法出境，并防止出境数据被非法利用；二是要尽快开发专用监管软件，及时锁定风险数据或封控数据出境。比如通过对重要企业或部门的数据流量及其数据流向目的地的检测及时发现问题，并能利用算法实现快速甄别、研判和管控；再如开发针对网上翻墙软件的监管系统，及时发现、阻断非法数据传输通道，保障数据安全。通过不断创新多方位的数据监管技术手段，为数据出境监管提供强有力技术支持。

（六）加强数据出境安全的宣传教育与督查

数据出境涉及面广、影响大。一直以来，我国广大民众对于数据安全的认识普遍不足，没有认识到一条条貌似极其普通的通信、出行、购物或医疗等数据，在大量汇聚后就可能产生“聚变”效应。因此要通过手机屏保或短信、电脑屏保、电视屏保、互联网站、宣传标语以及数据监管部门组织宣教人员进机关、进企业等多种形式，广泛开展数据安全及相关法律法规的常态化宣传教育，指导全社会开展数据安全防范工作，提高各类社会组织和个人的数据安全意识。要让广大人民群众尤其是领导干部充分认识到数据安全的重要性，充分认识到没有数据安全就没有国家安全。通过数据安全专题宣传教育与经常性工作督查，推动更广泛的团体和个人共同参与数据安全保护工作，建立数据安全协同治理体系，形成全社会对数据安全的共管共治态势。

五、结束语

数据是数字经济最核心的资源，就数据本身而言，开放共享会使其发挥更多价值，但毋容置疑，当前，围绕数字关键核心技术的竞争愈发激烈，全球数字治理领域面临数据安全、数据流动、数据产权等诸多挑战。这就需要我们加强对数据出境进行科学合理监管的探索研究，在保障数字经济正常发展的同时确保数据安全和国家安全，为做强做优做大我国数字经济、构筑国家竞争优势提供有力支持。